Ransomware och phishing

Utpressningsprogram (ransomware) drabbar regelbundet svenska organisationer och privatpersoner. De innehåller skadlig kod som låser (krypterar) informationen i den drabbade utrustningen (vanligen dator eller smarttelefon) och därefter begär en lösensumma för att låsa upp informationen igen.

Ett utpressningsprogram ger sig vanligen själv till känna först efter att den drabbade utrustningen är helt krypterad. Betalningen ska vanligen ske via Bitcoin eller via något annat anonymt betalningssätt. Hur allvarligt drabbad informationen blir varierar. I vissa fall handlar det om en låsning som går att återställa eller kringgå. Under 2014 och 2015 har dock utpressningsprogrammen blivit allt effektivare i att låsa informationen på datorer och möjligheterna till återställning har blivit mindre.

Eftersom antalet angripna datorer är mycket stort har utpressningsprogram blivit en mycket lönsam kriminell nisch - även om det är långt ifrån alla drabbade som betalar den angivna lösensumman. Affärsmodellen liknar i viss mån den som förekommer vid skräppost (spam) där kostnaden för att angripa ett stort antal system är relativt liten, men där lönsamhet uppstår redan vid ett mindre antal betalande offer.

Utpressningsprogram är också ett relativt riskfritt alternativ bland kriminella och har lägre omkostnader än traditionella banktrojaner. Utpressningsprogrammet riktar inte in sig mot någon banks inloggningsida utan främst mot företag- och enskildas datorer. Bankernas resursstarka säkerhetsorganisationer involveras därmed inte – och betalningen sker inte längre via banksystemet utan via anonyma betalningsvägar, direkt mellan det drabbade offret och de kriminella.
Ett lyckat angrepp med utpressningsprogram bygger nästan alltid på att angriparen lyckas utnyttja någon typ av förtroende hos den drabbade. Detta är den primära orsaken till att dessa program kan spridas. De utnyttjar i allmänhet epost som i detalj efterliknar legitima avsändare och utnyttjar förtroendet användaren har för organisationer många vanligtvis är kunder hos. Några aktuella svenska exempel är skadlig kod som spridits via epost som ser ut att komma från Postnord, El-Giganten, CDON.

För att undvika att drabbas av utpressningsprogram är det viktigt att ha ordning och reda i sin egen systemmiljö. Ofta kommer skadlig kod in via epost eller länkar, men när den väl fått fotfäste kan fortsatt spridning också ske internt via nätverket. Viktigt är också att begränsa användarnas möjlighet att installera egna programvaror samt att ha central uppdatering av befintliga programvaror. Detta gäller såväl klientdatorer som servrar. Att kontinuerligt utbilda sina användare i att inte klicka på länkar eller öppna bilagor i okända mejl är också viktigt.

Det allra viktigaste skyddet mot utpressningsprogram är att se till att ha fungerande säkerhetskopieringsrutiner (backup). På så sätt kan drabbade datorer och mobiler återställas. Kom dock ihåg att regelbundet verifiera att säkerhetskopieringen verkligen fungerat genom att testa återläsning av informationen.

Om din organisation råkar ut för ett utpressningsprogram är det viktigt att reagera snabbt. Har den eller de som drabbats omfattande åtkomsträttigheter kan i värsta fall stora nätverksdiskar snabbt bli låsta eller krypterade. Den första åtgärden är därför att isolera. Dra ur nätverkskabeln, stäng av Wi-Fi, ta bort USB-enheter.

Informera därefter den närmsta omgivningen. Om källan till angreppet är känd, till exempel ett inkommande e-postmeddelande, så bör personal med IT-säkerhetsansvar sprida information om detta internt i organisationen.

Se även:
https://www.cert.se/2015/09/phishing-mejl-ser-ut-att-komma-fran-postnord-ab
http://www.postnord.se/sv/Sidor/viktig-information-3.aspx
https://www.csis.dk/da/csis/news/4726/
https://www.cert.se/2015/03/kort-om-ransomware